Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 6032 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Google Drive not working after enabling HTTPS scan

TomWilsonFL
Yesterday I pushed the CA Root Cert to my clients using Group Policy, then later enabled HTTPS decrypt and scan for them. So far everything seems to be working well, except Google Drive for PC. It simply will not connect.

I added my test client to the "Transparent mode skiplist", and then it started working fine, so I know it is something in the Web Protection filter that is causing the issue. I have tried adding Exceptions for many Google Drive related URLs (listed here: https://support.google.com/drive/answer/2589954?hl=en) and adding DNS host groups for "drive.google.com" to the destination host skiplist, both with no luck.

Has anyone experienced this issue? Any thoughts?

Thanks,
Tom


This thread was automatically locked due to age.
  • 0
    What are the relevant entries from the full web filtering log?
  • 0 in reply to Scott_Klassen
    What are the relevant entries from the full web filtering log?


    That's something I forgot to mention. The web filtering log shows entries when I browse on the test client, but shows nothing when I open Google Drive.

    I also set the firewall to log all entries for this client, allowed and denied, and nothing also shows up when I start Google Drive.

    Yet, as I said, if I add this client to the Transparent mode skiplist, Google Drive works without any issue.

    So confused...
  • 0
    Create A network definition group for all those URLs and add that group to transparent bypass list instead of creating an exception. If you don't want to do that permanently it will at least prove if there is something not quite right with the exception.

     If that doesn't work the only thing I can think of is bypassing personal network storage and maybe business categories on SSL skip list (if you are on 9.3).
  • 0
    Was this working before you turned on HTTPS scanning?

    If so, try turning it off.  Start Google Drive.  Quit Google Drive.  Look at the logs for all web traffic coming from that computer.  Based off that information try creating your exceptions.

    Note:  When HTTPS scanning is off the log is only printed when the SSL connection is closed.  Therefore you have to close the app before you can see logs.

    You can also try configuring the IE/system proxy.

    And if that fails...  Wireshark on the computer running drive to see where it is actually connecting to.
  • 0
    Before you do the hard-core stuff, consider #1 in Rulz.  Any hints in those logs?

    It's not possible for the proxy to block without recording that in the logs - unless you've de-selected that in WebAdmin.  In the Web Filtering Live Log, put the IP of the test PC in the Filter box so that you can just watch traffic from it.  Any luck?

    Cheers - Bob
  • 0 in reply to BAlfson
    Before you do the hard-core stuff, consider #1 in Rulz.  Any hints in those logs?

    It's not possible for the proxy to block without recording that in the logs - unless you've de-selected that in WebAdmin.  In the Web Filtering Live Log, put the IP of the test PC in the Filter box so that you can just watch traffic from it.  Any luck?

    Cheers - Bob


    (Sorry for the slow reply. I've been out of town.)

    "Log blocked pages" is checked in all of my content filter action profiles.

    With HTTPS Decrypt & Scan turned on, the ONLY log entry I see when starting Google Drive is a DNS request from the client to my internal DNS server.

    With HTTPS Decrypt & Scan turned off, I see these entries in the Web Filtering log: 

    2015:02:19-09:17:11 sophos httpproxy[5580]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.5.41" dstip="74.125.21.84" user="" ad_domain="" statuscode="200" cached="0" profile="REF_HttProContaStaffNetwo4 (Test Student)" filteraction="REF_HttCffStudeConteFilte (Student content filter action)" size="18603" request="0xc09b8000" url="https://74.125.21.84/" referer="" error="" authtime="0" dnstime="0" cattime="142" avscantime="0" fullreqtime="265017" device="0" auth="0" ua="" exceptions="" category="178" reputation="neutral" categoryname="Internet Services"

    2015:02:19-09:17:17 sophos httpproxy[5580]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.5.41" dstip="23.4.43.27" user="" ad_domain="" statuscode="200" cached="0" profile="REF_HttProContaStaffNetwo4 (Test Student)" filteraction="REF_HttCffStudeConteFilte (Student content filter action)" size="1363" request="0xd81d1800" url="http://g.symcd.com/MEQwQjBAMD4wPDAJBgUrDgMCGgUABBSxtDkXkBa3l3lQEfFgudSiPNvt7gQUAPkqw0GRtsnCuD5V8sCXEROgByACAwI6dg%3D%3D" referer="" error="" authtime="0" dnstime="31331" cattime="40380" avscantime="935" fullreqtime="146485" device="0" auth="0" ua="Microsoft-CryptoAPI/6.1" exceptions="" category="175" reputation="trusted" categoryname="Software/Hardware" content-type="application/x-x509-ca-cert"

    2015:02:19-09:17:18 sophos httpproxy[5580]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.5.41" dstip="74.125.21.100" user="" ad_domain="" statuscode="200" cached="0" profile="REF_HttProContaStaffNetwo4 (Test Student)" filteraction="REF_HttCffStudeConteFilte (Student content filter action)" size="463" request="0xd54d8800" url="http://clients1.google.com/ocsp/MEkwRzBFMEMwQTAJBgUrDgMCGgUABBTy4Gr5hYodjXCbSRkjeqm1Gih%2BZAQUSt0GFhu89mi1dvWBtrtiGrpagS8CCE9lC%2Fbj8vhQ" referer="" error="" authtime="0" dnstime="549" cattime="40553" avscantime="1160" fullreqtime="107421" device="0" auth="0" ua="Microsoft-CryptoAPI/6.1" exceptions="" category="178" reputation="neutral" categoryname="Internet Services" application="google" app-id="182" content-type="application/x-x509-ca-cert"

    2015:02:19-09:19:14 sophos httpproxy[5580]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.5.41" dstip="74.125.21.84" user="" ad_domain="" statuscode="200" cached="0" profile="REF_HttProContaStaffNetwo4 (Test Student)" filteraction="REF_HttCffStudeConteFilte (Student content filter action)" size="28639" request="0xdbf62000" url="https://accounts.google.com/" referer="" error="" authtime="0" dnstime="4" cattime="115" avscantime="0" fullreqtime="118261088" device="0" auth="0" ua="" exceptions="" category="178" reputation="trusted" categoryname="Internet Services" application="google" app-id="182"

    2015:02:19-09:21:11 sophos httpproxy[5580]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.5.41" dstip="74.125.21.84" user="" ad_domain="" statuscode="200" cached="0" profile="REF_HttProContaStaffNetwo4 (Test Student)" filteraction="REF_HttCffStudeConteFilte (Student content filter action)" size="6422" request="0xcd223000" url="https://74.125.21.84/" referer="" error="" authtime="0" dnstime="1" cattime="44013" avscantime="0" fullreqtime="240391285" device="0" auth="0" ua="" exceptions="" category="178" reputation="neutral" categoryname="Internet Services"
  • 0
    You are going to have to set the google play domains as https scanning exceptions in the web filtering.
  • 0 in reply to William Warren
    I finally got this fixed.

    I created a Network Group and added all of the domains on this list as DNS Groups to the Network group, EXCEPT www.google.com. You want to exclude www.google.com otherwise your Google SafeSearch, if enabled, will not be enforced.

    https://support.google.com/drive/answer/2589954?hl=en

    Since you cannot add clients[N].google.com as a DNS Group, I added clients1.google.com, clients2.google.com, and clients3.google.com as separate DNS Groups. But after watching Wireshark and doing a little DIGging, they all seem to be CNAMEs for clients.l.google.com.

    The same is true for lh[N].google.com, but this DNS Group never resolved and it hasn't seemed to cause any issues, so I think it may be unused on Google Drive for PC. (NB: I just did some digging and the lh*.google.com domains are all CNAMEs for lh2.l.google.com, so this may be of value to add also.)

    You also need to add the following DNS Groups to the Network Group before uploads will work:

    large-uploads.l.google.com
    clients.l.google.com
    talk.l.google.com

    I then added the entire Network Group to the Transparent Mode Destination Skiplist (Web Protection -> Filtering Options -> Misc tab on 9.3x).

    I hope this helps someone.

    Peace,
    Tom